Beveiliging

Er is een wezenlijk verschil tussen digitale criminaliteit zoals dat op internet ten opzichte van dat op straat. In de fysieke wereld kan men een inbreker of dief zien binnenkomen of constateren dat er iets wordt weggenomen. In de digitale wereld heb je aan ogen en oren niet genoeg om iemand te betrappen en moet men middelen inzetten om schade te voorkomen.

Beveiliging NieuwsOm verrassingen of problemen met uw data te beperken kun je eenvoudig een aantal maatregelen nemen. Deze maatregelen zijn gericht op een Windows 7 systeem en hoeven behalve enige moeite van het installeren en het onderhouden van software verder niets te kosten, want voor bijna elke oplossing is wel gratis software te verkrijgen. De meeste van de leveranciers van gratis software hebben ook een betaalde versie met meer mogelijkheden en hopen dat u uiteindelijk naar een betaald product overstapt, maar dat is niet altijd het geval. Gratis software is altijd beter dan een betaalde versie waarvan de licentie is verlopen of een virusscanner die niet van de laatste virusdefinities voorzien is.

Algemeen

Het is aan te raden om alle maatregelen die behandeld worden op deze website, of een gelijkwaardig alternatief te gaan gebruiken. Het totaal maakt een behoorlijk goede beveiliging tegen computer criminaliteit voor de gemiddelde thuisgebruiker. Dat wil niet zeggen dat je niets meer kan overkomen, alertheid op onregelmatigheden blijft belangrijk, juist in een dynamische omgeving als het internet.

Om te beginnen schakelen we Java uit. Volgens Microsoft gebruikt maar liefst 50 procent van de malware een gat in Java. Dit kan iets ten koste gaan van de functionaliteit, maar waarschijnlijk zijn er wel alternatieven te vinden in dat geval. Verwar overigens niet Java met Javascript dat op vrijwel iedere website wordt gebruikt. Zonder Java, werkt Javascript prima.

Het is erg belangrijk dat u uw besturingssysteem regelmatig updatet, hiermee zal het zichzelf herstellen van fouten en bent u beter beschermd tegen hackers. In geval van een normale Windows installatie gaat dit trouwens vanzelf en hoeft u hiervoor niets in te stellen.

Verwijder software van uw computer die niet mee geupdatet wordt door de maker. Gaten in de software blijven dan namelijk open en vormen een bedreiging. Dat geld natuurlijk ook indien u de software gekocht heeft. Ga op zoek een alternatief dat wel regelmatig geactualiseerd wordt. Mocht u daar niet in kunnen slagen en u wilt toch de betreffende software blijven gebruiken dan kunt u deze eventueel in een sandbox laten draaien. De software draait dan in een beschermde omgeving. Er zijn verschillende diensten voor beschikbaar. Het gaat te ver om hier specifiek op in te gaan. Ook kunt u gebruik maken van een virtuele machine zoals bijvoorbeeld VirtualBox, hiermee schermt u zelf de hele omgeving af.

Autorun is een mogelijkheid in Windows die bedoeld is om cd’s en dvd’s direct te laten starten. Autorun wordt echter misbruikt door virusmakers, met name op USB-sticks. Dit beveiligingsrisico is door Microsoft onderkent en daarom krijgt u standaard een vraag wat u wilt doen. Het is echter beter om automatisch starten volledig uit te schakelen. Dat kan door het vinkje uit te zetten via: Start /Configuratiescherm / Hardware en geluiden / Automatisch afspelen.

De twee mogelijkheden om de computer op afstand over te nemen kunt u beter uit zetten indien u deze niet gebruikt. Klik hiervoor rechts op ‘Deze computer’ en kies Eigenschappen / Instellingen voor externe verbindingen. Hulp op afstand en Extern bureaublad zet u beide uit. Mocht u toch graag op afstand willen inloggen, dan leest u verderop een mogelijkheid om dat enigszins veiliger te doen.

De browser is tenslotte van dit gedeelte, het meest gebruikte programma’s op menig computer. Indien u wisselt van browser naar bijvoorbeeld Google Chrome of Firefox dan doet u er verstandig aan om de ‘oude’ browser van het systeem te verwijderen. Dat scheelt weer updaten en maakt de computer minder kwetsbaar.

Wachtwoorden

Het is verstandig om uw wachtwoorden veilig te kiezen en regelmatig te veranderen. Verder moet een wachtwoord onvoorspelbaar zijn. Een goed wachtwoord bestaat uit een combinatie van (grote en kleine) letters, cijfers en vreemde tekens. Hoe langer het wachtwoord, hoe moeilijker het te achterhalen is. Gebruik een complete zin of namen die expres fout geschreven zijn of vervang bepaalde letters door vreemde tekens. Om het eenvoudig te kunnen onthouden kun je een vraag bedenken waar alleen jijzelf het antwoord op weet.

Indien je gebruik maakt van versleutelde bestanden dan is de lengte en van het wachtwoord en de complexiteit extra van belang omdat dit soort bestanden door bruteforcen (raden van het wachtwoord) gekraakt zou moeten worden. Hierbij wordt mogelijke combinaties van beschikbare tekens geprobeerd, een zeer inefficiënte methode door de zeer lange duur, maar 100% trefzeker.

KeepassMet KeePass kun je gratis en eenvoudig uw wachtwoorden opslaan in een beveiligde kluis. De wachtwoorden worden in een database bestand opgeslagen. Een tip is om deze te bewaren op een usb-stick die u elders opbergt. Bij elk wachtwoord kun je eventuele details toevoegen zoals het internetadres, titel, gebruikersnaam of opmerkingen. KeePass kan ook zelf een (moeilijk te onthouden) wachtwoord genereren. KeePass heeft ook een versie die u kunt gebruiken op uw smartphone zodat de wachtwoorden altijd binnen handbereik zijn. Het programma kan ook lijsten importeren en exporteren en heeft een ingebouwde zoekfunctie.

Anti virus

Het eerste computervirus werd gecreëerd in 1968 door het computerbeveiliging bedrijf Brain Computer Services uit Pakistan. Het virus was bedoeld om roofkopieën van de software tegen te gaan en bracht het adres van de Pakistaanse firma in beeld.

De schade die virussen, wormen en Trojaanse paarden aanrichten, zijn geheel afhankelijk van het soort virus. Een computer kan op verschillende manieren besmet raken met verschillende soorten virussen. De meest voorkomende manier is dat je iets download van internet en in 1 of meerdere bestanden zit een virus verstopt. Gewoonlijk zal elke goede en geüpdate virusscanner dit verstopte virus vinden en dit bestand (met virus) niet toelaten in de computer.

Er komen wekelijks vele nieuwe virussen bij, en het is wel zaak de virusscanner regelmatig te updaten. Een virusscanner kan zijn werk dus pas goed doen, als je zorgt dat de virusdefinities bij de tijd zijn. De meeste antivirus programma’s kunnen zo worden ingesteld dat deze updates automatisch plaatsvinden. Een goede virus scanner is op de achtergrond aanwezig in het geheugen. Daarnaast is het verstandig om met enige regelmaat de computer te laten scannen door de virusscanner.

Wil je niet betalen voor een jaarlijks abonnement voor het verkrijgen van de laatste virusdefinities en is ondersteuning minder belangrijk dan kun je kiezen voor een gratis virusscanner. Hieronder tref je een aantal virusscanners waar je niet voor hoeft te betalen. Ze doen niet veel onder t.o.v. de versies die je moet kopen, hoewel die vaak wel een aantal extra faciliteiten hebben. Ook proberen Avast en AVG je met enige regelmaat te bewegen om een betaalde versie aan te schaffen, dit moet je dan op de koop toe nemen. Microsoft Security Essentials is alleen te gebruiken door gebruikers van legale Windows-installaties. Bij de installatie van de beveiligingssoftware wordt gecontroleerd of het besturingssysteem wel ‘genuine’ is.

AVG virusscanner van Grisoft

AVGAVG antivirus is een antivirus programma dat gemaakt wordt door Grisoft. Ook AVG is in het Nederlands verkrijgbaar. Naar onze mening is Avast iets eenvoudiger in het gebruik. AVG komt daarentegen vaak net iets accurater uit testen, evenals betaalde virusscanners als Norton, McAfee en Kapersky. het pakket heeft meer dan 70 miljoen actieve gebruikers.

Microsoft Security Essentials

microsoft security essentialsSecurity Essentials is beschikbaar voor Windows XP, Vista en Windows 7, zowel 32- als 64-bit. Microsoft zal Security Essentials niet als update via Windows Update of de Automatische Update verspreiden, dit heeft te maken met het al dan niet mogen bundelen met Windows.Als de software denkt met malware te maken te hebben, maar er geen overeenkomst treft in de virusdatabase is, zoekt het programma voor meer informatie contact met Microsoft. Daardoor zouden er minder updates nodig moeten zijn. Microsoft biedt het pakket gratis aan omdat veel pc’s in de praktijk onbeschermd zijn.

Avast! antivirus van Alwil

AvastAvast! antivirus is een antivirus programma dat gemaakt wordt door Alwil, een in Tsjechië gevestigd bedrijf dat zich gespecialiseerd heeft in beveiligingsprogrammatuur. Het programma heeft een Nederlandstalige versie en heeft een gebruikersvriendelijke interface.

Het is aan te raden om naast jouw virusscanner die je nu al gebruikt regelmatig een extra scan uit te voeren. Geen enkele virusscanner is namelijk 100% waterdicht.

Spyware

Op Internet is enorm veel software helemaal gratis te krijgen. De inkomsten voor de maker komen vaak voort uit reclame en het verzamelen van gegevens van gebruikers van de software. Het bespioneren van gebruikers gebeurt met zogenaamde spyware, deze registreert tal van gegevens van de gebruiker. De gegevens die de software naar zijn maker stuurt is vaak gecodeerd zodat het vrijwel onmogelijk is om te achterhalen om wat voor gegevens het gaat. Bij het de-installeren van de software blijft het spyware programma vaak gewoon aanwezig en actief op uw computer.

Er is software waarmee je spyware op de computer kan vinden en verwijderen.

Ad awareEen goed gratis programma is Ad-Aware van het Duitse Lavasoft. Dit programma speurt uw computer af naar alle sporen die naar spyware wijzen. Gevonden bestanden kun je verwijderen en met de back-up functie eventueel weer terugzetten. Zeker even goed, en met een Nederlandse taalmodule is Spybot – Search & Destroy

Malware

De laatste jaren is er een opmerkelijke verschuiving gekomen in de beweegredenen voor het maken en verspreiden van schadelijke software. In de beginjaren van de computervirussen ging het nog om een bijna sportieve strijd om de eer tussen computerspecialisten. Vandaag de dag staan vooral concrete financiële voordelen centraal. In onderwereld is een echte zwarte economie ontstaan, waarbij in strakke, keurig georganiseerde structuren malware wordt gemaakt, geperfectioneerd en verspreid. Binnen de cybercrime-economie is een bloeiende handel ontstaan in alle mogelijke digitale goederen en diensten. Op speciale handelsplatformen is informatie verkrijgbaar over recent ontdekte veiligheidslekken en de daarbij passende malware. Soms geeft de auteur zelfs een functiegarantie en krijgen afnemers binnen de garantieperiode gratis aangepaste versies. Legers van geïnfecteerde computers, die als zogenaamde zombies deel uitmaken van een botnet, worden per uur of per dag verhuurd. Zo kunnen spamcampagnes of doelgerichte aanvallen tegen onpopulaire websites of mailservers worden uitgevoerd. En zelfs de laatste schakel in de criminele keten van toegevoegde waarde, namelijk het omzetten van de buitgemaakte informatie, zoals creditcardgegevens in contanten, wordt op de digitale markt van de cybercriminelen geregeld. Dat gebeurt door nietsvermoedende pc-gebruikers die als “financiële medewerkers“ worden aangeworven bij dekmantelbedrijven. Deze stellen dan weer hun eigen bankgegevens voor dubieuze fnanciële transacties ter beschikking. Vroeger was het hoofddoel van de aanvallen het creëren van schadelijke software, die uitsluitend ter verspreiding was bedoeld, maar dat is allang niet meer het geval. Nu wordt op steeds meer bedrijfsnetwerken ingebroken, om daar allerlei informatie te stelen waaruit munt is te slaan. Ook kan de infrastructuur van het aangevallen netwerk voor criminele doeleinden worden misbruikt.

Botnets zijn de draaischijf van de eCrime-infrastructuur. Ze worden niet alleen gebruikt voor het verzenden van spam en het uitvoeren van Denial-of-Service-aanvallen. Zombiecomputers worden ook ingezet als host voor phishing- en malwaresites en om de adressen van e-mail-servers op te sporen. Het is dan ook niet verwonderlijk dat het aantal botnetcomputers de laatste tijd zo sterk is toegenomen. Omdat botnets in kleinere eenheden van enkele duizenden zombiecomputers worden gesegmenteerd, is ook het aantal botnets aanzienlijk gestegen. In het verleden gebeurde de besturing bijna uitsluitend via IRC (Internet Relay Chat, chatsysteem dat op tekst is gebaseerd). In de volgende ontwikkelingsfasen kwamen er steeds meer botnets bij die andere protocollen voor de besturing gebruiken. Moderne botnets, zoals het beruchte Storm-botnet, zijn als peer-to-peernetwerk (P2P) begonnen. Het eveneens machtige Zunker-botnet communiceert via http. Na het ofine halen van de dubieuze Internet Service Povider McColo verloren een paar botnets hun commandocomputer en werden daardoor onbruikbaar. Het gevolg was het verdwijnen van de botnets Srizbi en Storm. Nieuwe botnets, zoals Waledac of Confcker, genereren nu veel verschillende contactmogelijkheden om altijd over botnets te kunnen beschikken. Bovendien worden de camoufagemechanismen steeds sluwer en met behulp van regelmatige updates en rootkits worden de backdoors op een efficiënte manier verborgen. De programma‘s en gegevens voor een opdracht worden eerst direct overgedragen en aansluitend opnieuw verwijderd.

Online backup

MozyMozy is een online back-up dienst waar men voor een klein bedrag per maand onbeperkte opslag krijg om computerbestanden veilig te stellen. Heb je aan 2 Gigabyte genoeg dan kan dit ook nog eens geheel gratis.

Via een handig programmaatje wordt er elke 2 uur gekeken of er updates op uw computer zijn, waarna deze bestanden versleuteld met 128-bit SSL encryptie naar de server van Mozy worden gekopieerd. De opslag vind plaats met 448-bit Blowfish encryptie zodat deze veilig is voor hackers.

Mozy respecteert de privacy van haar klanten, u kunt de informatie laten versleutelen met een wachtwoord dat alleen u kent, na versleuteling wordt de data pas verstuurd. Gedurende dertig dagen lang worden alle backups bewaard. De eerste back-up duurt wel even, daarna worden alleen de wijzigingen van de data op uw computer verzonden.

Heb je veel data dan is Mozy wellicht een dure optie. Een tijd geleden heeft Mozy namelijk een datalimiet ingevoerd. Een prima alternatief hiervoor is dan CrashPlan. CrashPlan heeft (nog) geen datalimiet en de software is minstens zo goed en heeft zelfs nog meer mogelijkheden.

 

Encryptie

TruecryptHet gratis programma TrueCrypt maakt het mogelijk om een virtuele versleutelde schijf te maken of een harddisk of een partitie geheel te versleutelen. Het programma werkt op de Mac, Linux en Windows, en is ook in de Nederlandse taal te gebruiken. Hiermee zijn de gegevens beveiligd tegen ongeoorloofd lezen met behulp van een wachtwoord. Hoe sterker het wachtwoord, hoe beter de beveiliging. Het versleutelde bestand of de schijf krijgt vanaf het begin al de maximale grootte, de ruimte die niet direct gebruikt wordt is gevuld met nodeloze data als extra beveiliging.

Het is mogelijk om een verborgen volume binnen het zichtbare volume te maken als extra beveiliging, mocht je bijvoorbeeld onder fysieke bedreiging gedwongen worden om het wachtwoord af te staan. Tot slot is het mogelijk om een traveller disk te maken. Hiermee is het mogelijk een USB stick dusdanig in te richten dat bij het aansluiten op een willekeurige computer de TrueCrypt software op de stick automatisch gestart wordt. Kortom een nuttige aanwinst met veel mogelijkheden zonder al te veel poespas.

Ook is het mogelijk een partitie op een schijf of een USB stick geheel te versleutelen en de optionele pre-boot authenticatie zorgt voor de controle voor het opstarten van de PC.

 

Spam

Het woord spam in een Engels woordenboek staat voor gekookte ingeblikte ham. Het gebruik van dit woord om daarmee grote aantallen van ongevraagde berichten aan te duiden vindt zijn oorsprong in een Monty Python sketch.

Bij spam gaat het om het versturen van grote aantallen ongevraagde berichten. Op dit moment is de totale hoeveelheid spam in aantallen meer dan de normale e-mails. Dit betekent een onnodige belasting van netwerken en servers, het is frauduleus, en het is vooral vervelend. Het heeft echter geen zin om te antwoorden of af te melden om zodoende uit hun lijst geschrapt te worden. Dit heeft in veel gevallen juist het omgekeerde effect. Het is raadzaam voorzichtig om te gaan met uw e-mailadres, maar uiteindelijk is het vrijwel onmogelijk om vrij te blijven van spam. Spamfilters bestaan zowel voor e-mailprogramma’s zoals Outlook, maar ook voor mailservers. De meeste Internet Service Providers installeren tegenwoordig spamfilters op hun servers.

Een handige gratis en eenvoudige optie is wellicht het gebruik van Gmail van Google. Gmail heeft namelijk niet alleen een 6,5 Gb grote inbox, maar is ook goed te gebruiken als spamfilter en back-up voor uw e-mail. Het spamfilter van Gmail is te gebruiken door uw huidige e-mail door te sturen naar Gmail, een Gmail adres te nemen of mail van je eigen domein te gebruiken via Google Apps. Berichten kunnen binnengehaald worden met POP3 of IMAP in je eigen e-mail programma zoals Outlook of GmailThunderbird. Lezen via webmail is dan ook mogelijk en je kunt zelfs een kopie van de mail bij Gmail laten staan als back-up. Verstuurd je de mail met smtp via Gmail dan kan ook een kopie van de verzonden e-mails in de mailbox achterblijven.

 

Phishing

Een phishing scam is een vorm van social engineering waarbij een oplichter probeert de gebruiker informatie zoals creditcardnummers, bankrekeninginformatie, sofinummers, wachtwoorden en andere vertrouwelijke gegevens te ontfutselen. Veelal doet de fraudeur zich hierbij voor als een vertrouwde partij, bijvoorbeeld een bekende bank of Internet Service Provider. Het meest bekende en ook meest gebruikte media hiervoor zijn e-mail en chat, vaak in combinatie met een op de echte site gelijkende website van de oplichter.

Het is regelmatig behoorlijk moeilijk om valse websites te herkennen. Het kan zelfs voorkomen dat de gebruiker na het inloggen op deze nepsite alsnog uitkomt op de officiële site, waardoor de gebruiker ook na het verstrekken van de gegevens niets vreemds opmerkt. Pas wanneer de rekeningafschriften van de bank de deurmat vallen, wordt duidelijk wat de gevolgen zijn.

https verbinding

De laatste versies van de browsers Internet Explorer en Firefox geven een richtlijn om te kunnen zien of u op een vertrouwde website bent. Hierbij kleurt de balk waarin het internetadres staat in een bepaalde kleur overeenkomstig met de status of het advies. Een versleutelde verbinding (https) kleurt bijvoorbeeld geel en een onveilige website zal als deze wordt herkend bijvoorbeeld rood kleuren. Ondanks deze hulpmiddelen is het erg belangrijk ten allen tijde argwanend te zijn wanneer u een verzoek ontvangt om vertrouwelijke informatie te verstrekken via Internet. Vraag uzelf altijd af wat de andere partij met deze informatie wil en kan. Stuur geen vertrouwelijke informatie zoals bankgegevens via e-mail of chat, tenzij je speciale maatregelen neemt zoals versleuteling.

Kinderen op internet

Om kinderen te beschermen op het internet zijn verschillende methodes voorhanden. Het is niet aan te raden om meteen geld uit te geven aan een software pakket de bescherming op het internet verzorgd. Om te beginnen is het verstandig om afspraken met de kinderen te maken zodat het duidelijk is wat wel en niet mag. Laat je kind alleen op het internet wanneer er iemand anders thuis, of in de buurt is en zet de computer op een plaats waar je het beeldscherm duidelijk mee kan volgen. Dat betekend geen computer op de eigen kamer en controleer tijdig met welke personen je kind chat of anderszins contact heeft. Laat je kind alleen maar communiceren met personen die je kent en verbied je kind om na een bepaalde tijd en ’s nachts de computer te gebruiken.

In aanvulling op de voorgaande tips zijn er softwarepakketten die dit en nog meer in jou plaats doen. Juist die extra functionaliteiten kunnen in bepaalde gevallen erg handig zijn. Met een wachtwoord kan de beveiliging voor kinderen tijdelijk of permanent uit schakelen en eventueel de instellingen wijzigen. Veel van de software pakketten kun je instellen op welke tijdstippen internet voor je kind al dan niet toegankelijk is en de tijdsduur in de gaten houden. Je kan chatten uitschakelen en verschillende filter opties voor surfen ingeven. Meestal is dit een zogenaamde blacklist, een reeks woorden waarop websites geblokkeerd worden. Controle kan vaak ook achteraf in de logfiles, hier worden alle bezochte websites en eventueel zoekgedrag opgeslagen. Bekende betaalde pakketten zijn bijvoorbeeld NetNanny en CyberPatrol. Let er op dat filtersoftware een verborgen politieke agenda kan hebben. Sommige Internetfilters blokkeren bijvoorbeeld wel homo-sites maar juist niet de anti-homo-sites.

Mijn Kind OnlineVoor de oudere kinderen vanaf ongeveer 8 jaar die bijvoorbeeld een e-mail of een sociaal netwerk zoals Facebook of Hyves account hebben is het verstandig dat ze hun wachtwoord aan hun ouders gegeven. Op deze manier kunt u de kinderen goed begeleiden. Wijs uw kind er op dat het verstandig is om het profiel af te schermen en geen privacy gevoelige informatie te delen. Bij driekwart van de 8-jarigen in Nederland gelden huisregels over afscherming, dit neemt geleidelijk af met de leeftijd. Veel informatie hierover is te lezen op de website van de stichting Mijn Kind Online.

 

Firefox Add-onsAls je Firefox gebruikt, dan is het mogelijk om zelf een blacklist en/of whitelist aan te maken. Ook kan de browser gebruik maken van zogenaamde plugins of add-ons, deze zijn veelal gratis. Add-ons zijn als het ware kleine programmaatjes die dingen toevoegen aan de browser. Er zijn verschillende add-ons beschikbaar met de mogelijkheden zoals besproken bij de software.

MyBeeVoor de jongere kinderen heeft Mijn Kind Online een gratis kinderbrowser met de naam MyBee ontwikkeld. MyBee is een schil over Internet Explorer en is ontwikkeld voor Windows. In tegenstelling tot een blacklist of verboden woorden heeft deze browser een whitelist. De websites die de kinderen kunnen bezoeken via een brower worden op deze manier toegankelijk gemaakt. Het programma is in te stellen in tolerant, gemiddeld of streng. In MyBee hoort bij elke website een minimale leeftijd. Een kind van 5 jaar krijgt geen websites te zien waar een oudere leeftijd bij hoort. Naast een redactie die sites plaatst op de lijst, kunnen ouders ook zelf meewerken aan deze browser. Zodra ouders een site voorzien van een leeftijdsadvies, wordt dat ook zichtbaar voor andere ouders.

Bitlocker

BitLocker codeert de op uw computer opgeslagen bestanden en gegevens en is beschikbeer in de Ultimate en Enterprise versies van Windows 7. Windows 7 maakt direct bij de installatie een 200 MB grote BitLocker-partitie aan. Het systeem werkt samen met de in veel laptops aanwezige TPM-chips. Wanneer het apparaat niet over een TPM-chip beschikt, kan de noodzakelijke sleutel ofwel Encryption-Key op een USB-stick worden opgeslagen. Deze stick moet dan bij elk opstartproces op het apparaat worden aangesloten.

In vergelijking met het True Crypt is BitLocker enigzins omslachtig. BitLocker biedt echter de voor bedrijven interessante optie dat een algemene sleutel in de Active Directory kan worden opgeslagen, maar dit is alleen interessant voor (bedrijfs)netwerken.

BitLocker

Met BitLocker voor onderweg (BitLocker To Go) kunnen mobiele gegevensdragers, zoals USB-sticks en SD-kaarten, worden gecodeerd. De verificatie is via de invoer van een wachtwoord of via smartcard mogelijk. Beheerders van netwerken kunnen het gebruik van BitLocker To Go afdwingen zodra gegevens op mobiele apparaten voor gegevensopslag worden opgeslagen. Hoewel het omslachtig is, kunnen de met BitLocker gecodeerde gegevens ook onder XP en Vista worden gelezen.

Gebruikersaccountbeheer (UAC)

Beveiliging en gebruiksvriendelijkheid gaan niet vaak samen. Het beste bewijs hiervoor is het gebruikersaccount beheer (UAC) van Windows. Veel gebruikers klaagden met Windows Vista erover dat de dialoogvensters van het gebruikersaccountbeheer te vaak het werkproces afremden. Daarom hebben veel gebruikers de irritante waarschuwingen van de UAC uitgeschakeld. Hierdoor wordt echter een effectief middel in de strijd tegen schadelijke programma’s uitgeschakeld, en de beveiliging om zeep geholpen omdat de malware zich automatisch de nodige rechten kan verschaffen voor de installatie.

Windows UACOm dit tegen te gaan, is het in Windows 7 mogelijk om de UAC waarschuwingen op vier verschillende gevoeligheidsniveaus in te stellen.

1. Altijd melden, ook bij Windows instellingen (aanbevolen);

2. Alleen meldingen bij systeemwijzigingen of door een programma (standaard);

3. Als 2, maar zonder een gedimd scherm;

4. Geen meldingen weergeven.

De standaard instelling is 2, ga je achter voor een optimale beveiliging dat is het aan te raden om alle meldingen aan te zetten.

Let op: Ondanks de permanente bewaking van de UAC bestaan er enkele automatische processen in Windows die buiten het gebruikersaccountbeheer vallen zoals de taakplanner. Hiermee is het mogelijk om programma’s met beheerdersrechten te starten bij het opstarten van het systeem, zonder dat een melding voor de gebruiker verschijnt. Zo kan er alsnog malware in een systeem terechtkomen.

Firewall

Een firewall is een barrière tussen de computer en het internet. Normaal dataverkeer wordt doorgelaten en ongewenst verkeer zoals aanvallen van hackers, computervirussen, spyware, spam en denial of service attacks worden tegengehouden. Een personal firewall is een firewall die enkel de computer beschermt waarop deze geïnstalleerd is. De standaard firewall (Windows) is op zich prima, maar er zijn diverse firewalls die uitgebreider te configureren zijn. Het voordeel van een personal firewall is dat men regels kan definiëren op basis van processen. Zo kan men bepaalde programma’s bepaalde toegang geven tot poorten of juist stoppen. Zulke regels kunnen voorkomen dat bijvoorbeeld spyware programma’s ongewenst gegevens of email versturen vanuit de betreffende computer.

De firewall van Windows 7 is behoorlijk uitgebreid. Ook is aan het gebruiksgemak gewerkt, hoewel voor de meeste toepassingen automatisch regels worden aangemaakt. Met een wizard zijn eventueel extra regels toe te voegen. Hoe zinvol het gebruik van een Firewall ook is, slechts weinig gebruikers onderhouden de firewall ook echt. Voor de meeste gebruikers is dit te lastig en komt er te veel specialisme bij kijken.

Windows Firewall

Hoe lastig het instellen van een firewall ook is, het is nooit een oplossing om de firewall volledig uit te zetten of zomaar regels toe te voegen. De firewall zou eventueel kunnen worden gedeactiveerd door malware, u krijgt dan echter normaal gesproken een melding van het onderhoudscentrum van Windows 7 en kunt u deze met 1 klik weer aan zetten.Een belangrijke verbetering is de mogelijkheid om het gedrag van de firewall in verschillende omgevingen te configureren. Voor openbare netwerken kunnen bijvoorbeeld strengere regels worden gedefinieerd dan voor een lokaal of bedrijfsnetwerk. Het is mogelijk om aan elke netwerkkaart eigen profielen toe te wijzen.

ZoneAlarmOmwille van meer configuratie mogelijkheden zou u eventueel ook overwegen om een alternatief te nemen voor de standaard meegeleverde firewall van Windows. Een gratis firewall is ZoneAlarm, deze is oorspronkelijk gemaakt door Zone Labs. ZoneAlarm is opgericht door Gregor Freund en in 2004 overgenomen door Check Point. ZoneAlarm van Zonelabs is een veel gebruikte persoonlijke firewall. ZoneAlarm kan elk programma afzonderlijk blokkeren of toestaan te communiceren met het netwerk en/of het internet.

Bestandextenties

Bestandextensies
Microsoft is van mening dat een gebruiker de extensies aan het einde van een bestandsnaam bij bekende bestandstypen niet hoeft te zien. Hiervan maken aanvallers graag gebruik doordat ze uitvoerbare bestanden van elk willekeurig pictogram kunnen voorzien. Als ze hun schadelijke programma met bijvoorbeeld een PDF-logo verspreiden, is het niet (eenvoudig) na te gaan of dit bestand daadwerkelijk van het weergegeven bestandstype is. Hoewel veel e-mail programma’s al rekening houden met het feit dat dit kan gebeuren door bijvoorbeeld .exe bestanden te blokkeren, adviseer ik toch om de optie “Extensies voor bekende bestandstypen verbergen” uit te zetten. Dit doet u onder het tabblad weergave bij de map- en zoekopties in verkenner. Hierdoor heb je beter zicht op de bestanden waarmee je te maken hebt en is het mogelijk om eventuele problemen door dit soort aanvallen te voorkomen.

VPN met Hamachi

Een Virtueel Particulier Netwerk (VPN) is een met encryptie beveiligde tunnel tussen een of meerdere computers. Met het gratis programma Hamachi van LogMeIn kan een eigen VPN worden opgezet. Via dit netwerk kun je eenvoudig en relatief veilig inloggen op je computer thuis.

Met ‘verbinding met extern bureaublad’ in Windows ofwel RDP (Remote Desktop Protocol) maak je verbinding met een extern bureaublad. Met het standaard in Windows 7 beschikbare programma kun je op deze manier een andere Windows computer op afstand overnemen. Je kunt dan op afstand inloggen op het systeem evenals je er normaal gesproken achter zit. Om de ontvangende computer hiervoor geschikt te maken ga je naar ‘Configuratiescherm’ > ‘Systeem’ en kies je ‘Instellingen voor externe verbindingen’. Zet in het scherm de functie ‘Externe verbindingen’ aan. Om RDP te kunnen gebruiken moet normaal gesproken poort 3389 openstaan op je computer. Ook dien je de router van je thuisnetwerk zo in te stellen dat deze het inkomende verkeer vanaf het internet doorstuurt naar je computer (port forwarding) als je vanaf het internet wil inloggen. Soortgelijke programma’s zoals VNC gebruiken ook een specifieke poort op je computer.

HamachiMet Hamachi wordt je niet gehinderd door een eventuele router, gateway of firewall. Dit kan omdat Hamachi gebruikmaakt van dezelfde principes als een p2p-programma. Een centrale server geeft je computer een netwerkadres op een virtuele netwerkkaart. Na deze eenmalige verbinding met de centrale server heb je er geen contact meer mee. Met virtuele netwerk is wellicht op de snelheid na, niet te onderscheiden van een gewoon lokaal netwerk. Dat betekent dat je bestanden kunt uitwisselen of andere zaken kunt delen of uitvoeren. Op dit netwerk heeft iedere computer een IP-adres dat is uitgegeven door Hamachi en wat na het eerste gebruik niet meer veranderd.

Om dit privénetwerk op te zetten, heb je behalve het programma van Hamachi ook een zelf te kiezen wachtwoord nodig. Het is tevens mogelijk om nieuwe gebruikers van het netwerk standaard te blokkeren, waardoor de veiligheid van het netwerk toeneemt. Door afwezigheid van de broncode is het helaas niet exact te zeggen hoe veilig deze manier van inloggen nu precies is, maar het is duidelijk veiliger om alleen op een privénetwerk poort 3389 open te zetten, dan dit vanaf het internet te doen.

Installeer op de computer waar je op wil inloggen de software van Hamchi. De gratis versie is prima, de betaalde versie bevat veel extra’s maar die zijn we hier niet voor nodig. Bij het opstarten krijgt de computer automatisch een IP-adres. Maak daarna een netwerk aan met Hamachi door een naam en een wachtwoord te kiezen. Hamachi moet wel draaien als je vanaf een andere locatie wil inloggen, het is daarom verstandig om Hamachi toe te voegen bij de programma’s die automatisch opstarten met Windows.

Windows FirewallControleer of je verbinding hebt met het door jou aangemaakte netwerk en installeer de software ook op de andere computer. Gebruik dezelfde netwerknaam en als je het goed hebt gedaan dan zal je zien dat beide computers elkaar zien op het netwerk. Standaard staat het blokkeren van nieuwe netwerkleden uit. Het is verstandig om deze optie aan te zetten, mocht iemand je wachtwoord op een of andere manier achterhalen dan heeft deze persoon niet direct toegang tot de andere computers in het netwerk.

Mocht het niet werken, dan is de kans vrij groot dat je firewall de toegang blokkeert. Je kunt dit oplossen door de firewall toegang voor poort 3389 door te laten geven. In Windows 7 is er zelfs de optie om dit alleen voor een specifiek IP-adres te doen. Vul hier het Hamachi IP-adres van de andere computer in, en er komt geen andere computer meer door.

Het is vanzelfsprekend belangrijk om een sterk wachtwoord te kiezen voor je netwerk en voor je computer waar je op wil inloggen.

Website: secure.logmein.com/products/hamachi2

 

Tenslotte

Ik pretendeer met dit beveiligingsadvies niet compleet te zijn, maar geeft je graag informatie over beveiliging van computers, en met name de informatie daarop. Ik raad je aan om altijd onafhankelijke inlichtingen in te winnen en/of onderzoek te verrichten voor gebruik van de via deze website verkregen informatie. Ik kan er niet voor instaan dat de informatie op deze website geschikt is voor het doel waarvoor de informatie wordt geraadpleegd. Alle informatie wordt uitdrukkelijk aangeboden zonder enige garantie.

 

Succes toegewenst!
Rob Hamberg

 

Gepubliceerd 10 mei 2009.